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(54) Verfahren zur Sicherung eines Datenspeichers 



(57) Es wird ein Verfahren zur Sicherung eines 
Sicherheitsdatenspeichers beschrieben, bei dem eine 
auRere Einwirkung auf ein Bauteil, welches den Sicher- 
heitsdater.speicher enthalt, von Sensoreh detektiert 
wird. Durch Oberschreiten eines Schwellenwerts an 
einem der Sensoren wird ein Angriff signalisiert, auf- 



grund dessen der Inhalt des Sicherheitsdatenspeichers 
zumindest teilweise geloscht wird. Der Zustand der 
Sensoren wird permanent uberwacht und die Zustands- 
daten der Sensoren werden aufgezeichnet. 
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Beschr ibung 

[0001] Die vorliegende Erfindung betrifft ein Verfah- 
ren zur Sicherung eines Sicherheitsdatenspeichers 
sowie einen Sicherheitsprozessor mit einem solchen 
Sicherheitsdatenspeicher. Hierbei ist unter dem Begriff 
"Sicherheitsdatenspeicher" jeder Datenspeicher zu ver- 
stehen, der sicherheitsrelevante Daten enthalt, die vor 
einem unbefugten Zugriff geschutzt werden mussen. 
[0002] Derartige Sicherheitsprozessoren mit 
Sicherheitsdatenspeichern befinden sich insbesondere 
in Chipkarten und Chipkarten-Terminals, die dazu die- 
nen, eine datentechnische Verbindung zu einer Chip- 
karte herzustellen. Da auf den Chipkarten die 
sicherheitsrelevanten Daten codiert abgespeichert 
sind, muB der Sicherheitsprozessor im Besitz der richti- 
gen Schlussel sein, um die Daten der Chipkarte verar- 
beiten zu konnen. Diese Schlussel sind in einem 
Sicherheitsdatenspeicher abgelegt. Um zu verhindern, 
daB Unbefugte in den Besitz dieser Schlusseldaten 
gelangen und damit MiBbrauch betreiben konnen, sind 
spezielte MaBnahmen erforderlich. 
[0003] Aus der Praxis ist bereits das EFTPOS-Ter- 
minal der Anmelderin bekannt. Bei diesem Terminal 
wird das gesamte Sicherheitsmodul mit dem Sicher- 
heitsprozessor einschlieBlich Display, Tastatur und 
MeBkopfen als eine Einheit vergossen. Innerhalb der 
VerguBmasse befindet sich ein Lichtsensor. Sobald von 
diesem Lichtsensor ein Lichteinfall detektiert wird, wer- 
den automatisch vom Sicherheitsprozessor die im 
Sicherheitsdatenspeicher gespeicherten sicherheitsre- 
levanten Daten geipscht. Ein unautorisierter Eingriff von 
au3en wurde das Terminal zwar funktionsuntuchtig 
machen, jedoch ware ein Auslesen der sicherheitsrele- 
vanten Daten nicht mehr moglich. 
[0004] In der EP 0 408 456 B2 wird eine Chipkarte 
beschrieben, deren Mikroschaltung gegen Eingriffe 
durch mehrere Sensoren geschutzt ist, welche einen 
sogenannten Vorzwangszustand aufweisen. Diese 
Sensoren reagieren auf mechanische Verformungen. 
Es sind mehrere Sensoren innerhalb der Chipkarte ver- 
teilt, um die gesamte Chipkarte auf Angriffe hin zu uber- 
wachen. 

[0005] Diese bisher bekannten SicherheitsmaB- 
nahmen sind zwar zuverlassig, jedoch ist es bisher 
nicht moglich, nach dem Ansprechen eines Sensors, 
d.h. nach einem erfolgten Angriff, Informationen dar- 
uber zu erhalten, wie der Angriff erfolgt ist. 
[0006] Es ist Aufgabe der vorliegenden Erfindung, 
ein Verfahren zur Sicherung eines Sicherheitsdaten- 
speichers bzw. einen Sicherheitsprozessor mit einem 
Sicherheitsdatenspeicher anzugeben. bei dem nach 
einem erfolgten Angriff Informationen uber die Art und 
den Ort des Angriffs gewonnen werden konnen. 
[0007] Diese Aufgabe wird durch ein Verfahren 
gemaB Anspruch 1 bzw. durch einen Sicherheitspro- 
zessor gemaB Anspruch 10 gelost. 
[0008] Durch die permanente Uberwachung der 



Sensoren, wobei standig die Zustandsdaten der Senso- 
ren abgespeichert werden, wird ein Protokoll aufge- 
zeichnet, anhand dessen nach einem Angriff 
nachvollzogen werden kann, wie sich die Zustande der 
5 einzelnen Sensoren vor dem signalisierten Angriff ver- 
andert haben. 

[0009] Bei den Sensoren kann es sich hierbei um 
beliebige Sensoren handetn, die an den verschieden- 
sten Orten unterschiedliche Parameter wie Temperatur, 

w Druck, Licht, Radioaktivitat, Rontgenstrahlen, Elektro- 
nenstrahlen Oder dergleichen registrieren. Anhand die- 
ses Protokolls konnen dann Aufschlusse daruber 
gewonnen werden, auf welche Weise und in welchem 
raumlichen Bereich ein Angriff erfolgt ist. Diese Daten 

75 konnen zum einen dabei helfen, die Ursache des 
Angriffs zu klaren. Zum ahderen konnen sie bei der 
Forte ntwicklung der Sicherheitstechnik nutzlich sein. 
[0010] Vorzugsweise werden die Zustandsdaten 
der Sensoren von der Datenaufzeichnungseinrichtung 

20 zyklisch in einem uberschreibbaren Speicher abgelegt, 
das heiBt, es wird nur jeweils eine bestimmte Anzahl 
von zeitlich zuruckliegenden Datensatzen gespeichert. 
[0011] Im Prinzip konnen die Zustandsdaten hier- 
bei direkt in einen nichtfluchtigen Speicher abgelegt 

25 werden. Ebenso konnen die Zustandsdaten prinzipiell 
auch in einem fluchtigen Speicher abgelegt werden, 
dessen permanente Spannungsversorgung in jeder 
Situation sichergestellt ist. 

[0012] Vorzugsweise erfolgt die zyklisch Abspei- 

30 cherung der Zustandsdaten zunachst in einen fluchti- 
-gen Zwische.nspeicher und die Daten werden dann bei 
Signalisieren eines Angriffs vom Zwischenspeicher in 
einen nichtfluchtigen Endspeicher ubertragen. Zusatz- 
lich werden vorteilhafterweise beim Signalisieren eines 

35 Angriffs die Zustandsdaten der Sensoren bzw. zumin- 
dest des einen Sensors, der den Angriff signalisiert, 
direkt in den Endspeicher abgelegt. 
[0013] . Bei einem besonders zeitlich okonomischen 
Ausfuhrungsbeispiel mit gleichzeitig geringem Spei- 

40 cherplatzbedarf werden die Zustandsdaten der Senso- 
ren zur permanenten Protokollierung an einen Analog/ 
Digital-Wandler weitergeleitet, welcher die analogen 
Zustandsdaten zur Speicherung im fluchtigen Zwi- 
schenspeicher digital codiert. Erst beim Signalisieren 

45 eines Angriffs werden die Zustandsdaten der Sensoren 
bzw. des Sensors, der den Angriff signalisiert hat, direkt 
in dem Endspeicher abgespeichert, ohne zuvor den 
Analog/Digital-Wandler und den Zwischenspeicher zu 
durchiaufen. 

so [0014]. Da damit gerechnet werden muB, daB ein 
Angriff erst nach einem Unterbrechen der Versorgungs- 
spanriung erfolgt, ist der Sicherheitsprozessor mit 
einem Batteriepuffer versehen. Unter Batterie ist in die- 
sem Sinne selbstverstandiich auch ein wiederaufladba- 

55 rer Akkumulator zu verstehen. Mit dieser Batterie wird 
die Spannungsversorgung der Sensoren bzw. des 
Sicherheitsdatenspeichers bzw. der ubrigen zur Durch- 
fuhrung des Verfahrens benotigten Bauteile, beispiels- 
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weise der Sensorauswerteeinrichtung und der 
Datenaufzeichnungseinrichtung, zumindest sotange 
aufrechterhalten, bis die sicherheitsrelevanten Daten im 
Sicherheitsspeicher geloscht sind und die Aufzeichnung 
der Sensordaten bzw. die Ubertragung der Sensorda- 5 
ten von dem Zwischenspeicher in den Endspeicher 
abgeschlossen ist. 

[001 5] Urn sicherzusteilen, daB zumindest die wich- 
tigsten und kritischsten Funktionen auch dann durchge- 
fuhrt werden, wenn aufgrund der ausbleibenden 10 
Versorgungsspannung und einer zu geringen Batterie- 
spannung das vorgesehene Verfahren nicht vollstandig 
durchgefuhrt werden kann, wird nach einem erfolgten 
Angriff folgende Reihenfolge eingehalten: 
[0016] Zunachst werden die sicherheitsrelevanten 15 
Daten im Sicherheitsspeicher geloscht. In einem zwei- 
ten Schritt werden dann die aktuellen Zustandsdaten, 
zumindest des Sensors, der den Angriff signalisiert hat, 
in dem Endspeicher direkt abgelegt. AnschlieBend wer- 
den die im Zwischenspeicher enthaltenen Zustandsda- 20 
ten in den Endspeicher ubertragen. Beim Ubertragen 
der Zustandsdaten vom Zwischenspeicher in den End- 
speicher wird eine zeitlich ruckwartige Reihenfolge ein- 
gehalten, d.h.; es werden zunachst die jungsten 
Zustandsdaten in den Endspeicher ubertragen und zum 25 
SchluB die altesten Zustandsdaten, damit das Protokoil 
moglichst aktuell ist. 

[0017] Wie bereits oben beschrieben, finden derar- 
tige Sicherheitsprozessoren einen Haiiptanwendungs- 
bereich innerhalb von Chipkarten-Terminals. 30 
Selbstverstandlich ist die Erfindung aber nicht auf die- - 
sen Bereich beschrankt. Das erfinduhgsgemaBe Ver- 
fahren bzw. ein entsprechender Sicherheitsprozessor 
kann uberall eingesetzt werden, wo es darum geht, 
sicherheitsrelevante Daten vor unbefugtem Zugriff zu 35 
schutzen. 

[0018] Die Erfindung wird im folgendeh unter Hin- 
weis auf die beigefugten Zeichnungen anhand eines 
Ausfuhrungsbeispiels naher erlautert. Die dort darge- 
stellten Merkmale konnen nicht nur in den genannten 40 
Kombinationen, sondern auch einzeln oder in anderen 
Kombinationen erfindungswesehtlich sein. Es zeigen: 

Fig. 1 in schematisches Blockschaltbild der funktio- 

nellen Anordnung der Sensorauswerteein- 45 
richtung und der 

Datenaufzeichnungseinrichtung innerhalb 
des Sicherheitsprozessors, 

Fig. 2 in schematisches Blockschaltbild der Sen- so 
sorauswerteeinrichtung und der Datenauf- 
zeichnungseinrichtung. 

[0019] Der in den Figuren dargestellte erfindungs- 
gemaBe Sicherheitsprozessor weist mehrere Sicher- 55 
heitssensoren 2 auf. Die verschiedenen Sensoren 2 
sind in Fig. 1 als ein gemeinsamer Block dargestellt Es 
kann sich hierbei urn unterschiedlichste Sensortypen 



handeln, beispietsweise urn Lichtsensoren, Thermo- 
sensoren oder um Sensoren, die auf mechanische Ver- 
formungen oder Erschutterungen reagieren. 
[0020] Die Signale dieser Sensoren 2 werden 
unverandert, das heiBt, in analoger Form, einerseits 
uber die Leitungen 9 an die Datenaufzeichnungsein- 
richtung 6 und andererseits uber die Abzweigung 10 an 
die Sensorauswerteeinrichtung 5 weitergeleitet. 
[0021] Die Datenaufzeichnungseinrichtung bzw. - 
schaltung 6 weist an ihrem eirien Eingang, auf den uber 
die Leitung 9 die analogen Sensorsignale ubermittelt 
werden, einen Analog/ Digital- Wandler 7 auf, der die 
Sensorsignale digitalisiert. Diese digitalen Sensorsi- 
gnale werden dann an einen oft uberschreibbaren, 
fluchtigen Zwischenspeicher 3 weitergeleitet und dort 
zyklisch abgespeichert. Das heiBt, es wird zunachst der 
erste Sensprdatensatz, dann der zweite Sensordaten- 
satz usw. abgespeichert, bis der Zwischenspeicher 3 
mit n Sensordatensatzen vollstandig belegt ist. Mit dem 
n+1 Datensatz wird dann wiederum der alteste Daten- 
satz, das heiBt, der Sensordatensatz 1, uberschrieben. 
Auf diese Weise werden immer die letzten n Datensatze 
abgespeichert, so daB zu jedem Zeitpunkt ein Protokoil 
uber einen bestimmten, zeitlich zuruckliegendeh Zeit- 
raum vorliegt. 

[0022] Gleichzeitig werden die " Sensorsignale 
innerhalb der Sensorauswerteeinrichtung bzw, -schal- 
tung 5 dahingehend ausgewertet, ob eines der Sensor- 
signale einen vorgegebenen Schwellenwert 
unterschreitet oder uberschreitet. Die Schwellenwerte 
k6nnen fur die einzelnen Sensoren 2 frei eingestellt 
werden, um so die Empfindlichkeit der gesamten 
Sicherheitsschaltung zu verandern. 
[0023] Wird die Uberschreitung bzW. Unterschrei- 
tung eines Schwellenwerts signalisiert, so wird dieses 
als ein Angriff auf den Sicherheitsprozessor gesehen. In 
diesem Fall wird von der Sensorauswerteeinrichtung 5 
uber die Reset-Leitung 13 der relevante Bereich im 
Sicherheitsspeicher 1 aktiv geloscht. Gleichzeitig wird 
an den Analog/Digital -Wandler 7 und an den Zwischen- 
speicher 3 Qber die Leitung 12 ein Stop-Befehl gege- 
ben, mit dem die weitere Digitalisterung der 
Sensorsignale und deren Abspeicherung im Zwischen- 
speicher gestoppt wird. AuBerdem werden die Sensor- 
signale uber die Lertung 11 zur 
Datenaufzeichnungseinrichtung 6 weitergeleitet und 
dort in einen nichtfluchtigen Endspeicher 4 als Sensor- 
Schalt-Daten direkt eingeschrieben (Fig. 2). 
[0024] AnschlieBend wird innerhalb der Datenauf- 
zeichnungseinrichtung 6 automatisch der Inhalt des 
Zwischenspeichers 3 in den nichtfluchtigen Endspei- 
cher 4 gespiegelt, d.h. kopiert. Dieser Kopiervorgang 
erfolgt bezuglich des Alters der Datensatze zeitlich 
ruckwarts. Das heiBt, es wird zuerst von alien Sensoren 
2 das letzte Byte, dann das vorletzte Byte usw. aufge- 
zeichnet. Hierbei werden die Daten des Sensors zuerst 
ubertragen, der den Angriff signalisiert hat. 
[0025] Bei einer erneuten inbetriebnahme des 



Sicherheitsprozessors nach einem Angriff kann dann 
die CPU des Sicherheitsprozessors uber den internen 
Bus den Endspeicher 4 auslesen und so die 
gewunschte Information herausfiltern. 
[0026] Vor dem nachsten Einsatz, d. h. dem erneu- 5 
ten Scharfstellen der Sensoren 2, wird dann nach dem 
Auslesen der Endspeicher 4 wieder geloscht, damit im 
Falle eines neuen Angriffs nur die aktuellen Sensorzu- 
stande darin enthalten sind. 

[0027] Um im Falle eines Angriffs bei unterbroche- 10 
ner Versorgungsspannung den Ablauf der Sicherheits- 
funktionen zu gewahrleisten, wird der 
Sicherheitsprozessor neben der Versorgungsspannung 
VCC mit einer Batteriespannung VBAT versorgt. Hierzu 
wird sowohl die Versorgungsspannung VCC als auch 15 
die Batteriespannung VBAT an eine Spannungsaus- 
wahleinrichtung bzw. -schaltung 8 des Sicherheitspro- 
zessors angelegt. Diese Spannungsauswahleinrichtung 
8 uberwacht standig die Versorgungsspannung VCC 
und sorgt dafur, daG beim Abfall der Versorgungsspan- 20 
nung VCC unter einen Minimalwert automatisch die 
maGgeblichen Bauelemente mit der Batteriespannung 
VBAT welter versorgt werden. Die Sensoren 2 konnen 
zum Teil auch direkt permanent mit Batteriespannung 
VBAT versorgt werden. 25 
[0028] Durch die oben genannte spezielle Reihen- 
folge der einzelnen Funktionsschritte ist dafur gesorgt, 
daG auch bei einem Zusammenbruch der Batteriespan- 
nung VBAT, d. h. wenn die Batteriespannung VBAT 
unter einen Minimalwert abfallt, mit groBer Wahrschein- 30 
lichkeit zumindest die Loschung der sicherheitsrelevan- 
ten Daten gewahrleistet ist und auBerdem die 
Informationen entsprechend ihrer Wichtigkeit fur die 
spatere Auswertung bevorzugt erhalten bleiben. 

35 
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abgelegt werden. 

4. Verfahren nach einem der Anspruche 1 bis 3, 
dadurch gekennzeichnet, daf3 die Zustandsdaten 
der Sensoren (2) in einem fliichtigen Zwischenspei- 
cher (3) abgelegt und bei Signalisieren eines 
Angriffs die im Zwischenspeicher (3) enthaltenen 
Zustandsdaten in einen nichtfluchtigen Endspei- 
cher (4) ubertragen werden. 

5. Verfahren nach Anspruch 4, dadurch gek nn- 
zeichnet, daG bei Signalisieren eines Angriffs 
zumindest die Zustandsdaten des Sensors, derden 
Angriff signalisiert, direkt in dem Endspeicher (4) 
abgelegt werden. 

6. Verfahren nach Anspruch 5, dadurch gekenn- 
zeichnet, daB die Zustandsdaten in dem Zwi- 
schenspeicher (3) digital codiert abgelegt werden 
und die bei einem signalisierten Angriff erfolgende 
direkte Speicherung der Zustandsdaten in dem 
Endspeicher (4) analog erfolgt. 

7. Verfahren nach einem der vorstehenden Anspru- 
che, dadurch gekennzeichnet, daB bei einem 
Zusammenbruch der Versorgungsspannung (VCC) 
die Spannungsversorgung der ..Sensoren (2) 
und/oder des Sicherheitsdatenspeichers (1) 
und/oder weiterer zur Durchfuhrung des Verfahrens 
benotigter Bauelemente (3, 4, 5, 6, 7) eine 
bestimmte Zeitspanne, mit einer Batterie aufrecht 
erhalten wird. . 

8. Verfahren nach einem der Anspruche 5 bis 7, 
dadurch gekennzeichnet, daB nach dem Signali- 
sieren eines Angriffs zunachst . der Inhalt des 
Sicherheitsdatenspeichers (1) geloscht wird, dann 
die aktuellen Zustandsdaten zumindest des Sen- 
sors, der den 'Angriff signalisiert, in dem Endspei- 
cher (4) abgelegt werden und anschlieGend die im 
Zwischenspeicher (3) enthaltenen Zustandsdaten 
in den Endspeicher (4) ubertragen werden. 

9. Verfahren nach einem der vorstehenden Anspru- 
che, dadurch gekennzeichnet, daB die im Zwi- 
schenspeicher (3) abgelegten Zustandsdaten in 
umgekehrter zeitlichen Reihenfolge bezuglich ihres 
Alters in den Endspeicher (4) ubertragen werden, 
wobei zuerst die Zustandsdaten des Sensors, der 
den Angriff signalisiert, ubertragen werden und 
dann die Zustandsdaten der ubrigen Sensoren. 

10. Sicherheitsprozessor mit einem Sicherheitsdaten- 
speicher (1 ) und mit Sensoren (2) zur Detektion von 
auGeren Einwirkungen auf den Sicherheitsprozes- 
sor und/oder den Sicherheitsdatenspeicher (1) und 
mit einer Sensorauswerteeinrichtung (5), die bei 
Oberschreiten eines Schwellenwerts an einem der 



1. Verfahren zur Sicherung eines Sicherheitsdaten- 
speichers (1), bei dem eine auGere Einwirkung auf 

ein Bauteil, welches den Sicherheitsdatenspeicher 40 
(1) enthalt, von Sensoren (2) detektiert wird, wobei 
durch Unter- oder Oberschreiten eines Schwellen- 
werts an einem der Sensoren (2) ein Angriff signa- 
lisiert wird, aufgrund dessen der Inhalt des 
Sicherheitsdatenspeichers (1) zumindest teilweise 45 
geloscht wird, dadurch gekennzeichnet, daG der 
Zustand der Sensoren (2) permanent uberwacht 
wird und die Zustandsdaten der Sensoren (2) auf- 
gezeichnet werden. 

50 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daB die Zustandsdaten der Sensoren (2) 
zyklisch in einem uberschreibbaren Speicher (3) 
abgelegt werden. 

55 

3. Verfahren nach Anspruch 1 oder 2, dadurch 
g kennzeichnet, daG die Zustandsdaten der Sen- 
soren (2) in einem nichtfluchtigen Speicher (4) 
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Sensoren (2) den Inhalt des Sicherheitsdatenspei- 
chers (1) zumindest teilweise loscht, gekenn- 
zeichn t durch eine 

Datenaufzeichnungseinrichtung (6) welche perma- 
nent die Zustandsdaten der Sensoren (2) in einem 5 
Speicher (3) aufzeichnet. 

11. Sicherheitsprozessor nach Anspruch 10, gekenn- 
zeichnet durch einen uberschreibbaren Speicher 
(3), in dem die Datenaufzeichnungseinrichtung (6) 10 
die Zustandsdaten der Sensoren (2) zyklisch ableg- 
bar sind. 

12. Sicherheitsprozessor nach Anspruch 10 Oder 11, 
gekennzeichnet durch einen nichtfluchtigen Spei- 15 
cher (4) fur die Zustandsdaten. 

13. Sicherheitsprozessor nach einem der Anspruche 
10 bis 12, gekennzeichnet durch einen fluchtigen 
Zwischenspeicher (3), in dem die Zustandsdaten 20 
der Sensoren (2) permanent abgelegt werden, und 
einen nichtfluchtigen Endspeicher (4), in den bei 
Signalisieren eines Angriffs die im Zwischenspei- 
cher (3) enthaltenen Zustandsdaten ubertragen 
werden. 25 

14. Sicherheitsprozessor nach Anspruch 14, gekenn- 
zeichnet durch einen Analog/ Digital-Wandler (7), 
welcher die analogen Zustandsdaten vor dem Spei- 
chern digital codiert. 30 

15. Sicherheitsprozessor nach Anspruch 13 oder 14, 
dadurch gekennzeichnet, daB die Sensorauswer- 
teeinrichtung (5) mit dem Endspeicher (4) verbun- 
den ist und bei Signalisieren eines Angriffs 35 
zumindest die Zustandsdaten des Sensors, der den 
Angriff signalisiert, direkt in dem Endspeicher (4) 
ablegt. 

16. Sicherheitsprozessor nach einem der vorstehen- 40 
den Anspruche, gekennzeichnet durch eine Bat- 
terie, welche bei einem Zusammenbruch der 
Versorgungsspannung (VCC) die Spannungsver- 
sorgung der Sensoren (2) und/oder des Sicher- 
heitsdatenspeichers (1) und/oder der 45 
Sensorauswerteeinrichtung (5) und/oder der 
Datenaufzeichnungseinrichtung (6) und/oder der 
Speicher (3,4) fur die Zustandsdaten der Sensoren 

(2) eine bestimmte Zeitspanne lang aufrecht erhalt. 



50 



17. Chipkarten-Terminal mit einem Sicherheitsprozes- 
sor nach einem der Anspruche 10 bis 16. 
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